Selecione tipos de regras para criar
Aplica-se a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tópico apresenta uma lista de recursos que pode utilizar quando selecionar as suas regras de política de controlo de aplicação utilizando o AppLocker.
Ao determinar que tipos de regras para criar para cada um dos seus grupos, também deve determinar que definição imposição a utilizar para cada grupo. Tipos de regras diferentes são mais aplicáveis para algumas aplicações, dependendo da forma que as aplicações implementadas num grupo específicas da empresa.
Os tópicos seguintes fornecem informações adicionais sobre regras de AppLocker que pode ajudar a decidir o que regras para as suas aplicações:
Compreender as Ações de Permissão e Negação nas Regras do AppLocker
Noções sobre os Tipos de Condição de Regra do AppLockerCompreender tipos de condição de regra AppLocker
Selecione a coleção de regra
As regras que cria irão ser das coleções de regra seguinte:
Ficheiros executáveis: .exe e .com
Ficheiros do Windows Installer:. msi, .msp e .mst
Scripts:. ps1,. bat, .cmd, vbs e. js
Empacotadas aplicações e empacotadas instaladores de aplicações:. AppX
DLLs:. dll e .ocx
Nota
tipos de ficheiro. AppX e .mst não são aplicáveis à AppLocker em execução no Windows Server 2008 R2 e Windows 7.
Por predefinição, as regras irão permitir que um ficheiro para ser executada baseada após o utilizador ou privilégio de grupo. Se utilizar regras DLL, permitir que uma DLL regra tem de ser criado para cada DLL que é utilizado por todas as aplicações permitidas. A coleção de regra DLL não está ativada por predefinição.
No exemplo Woodgrove Bank, a aplicação de linha de negócio para o grupo de empresas banco Tellers é c:\Programas\Microsoft Files\Woodgrove\Teller.exe e desta aplicação tem de ser incluídas numa regra. Além disso, porque esta regra faz parte de uma lista de aplicações permitidas, todos os ficheiros do Windows em C:\Windows tem de ser incluídos bem.
Determinar a condição de regra
Uma condição de regra é critérios que uma regra de AppLocker baseia-se e só pode ser uma das condições regra na tabela seguinte.
Condição de regra |
Cenário de utilização |
Recursos |
|---|---|---|
Publisher |
Para utilizar uma condição do publisher, os ficheiros devem ser assinados digitalmente por um fabricante de software ou deve fazê-lo ao utilizar um certificado interno. As regras que são especificadas para o nível de versão poderão ter de ser atualizado quando é lançada uma versão nova do ficheiro. |
Para mais informações sobre esta condição de regra, consulte o artigo Understanding the Publisher Rule Condition in AppLocker. |
Caminho |
Pode ser atribuído qualquer ficheiro esta condição de regra; No entanto, uma vez que as regras de caminho especificam localizações de sistema de ficheiros, qualquer subdirectory serão também afetada pela regra (a menos que explicitamente exempted). |
Para mais informações sobre esta condição de regra, consulte o artigo Compreender a Condição de Regra de Caminho no AppLocker. |
Hash de ficheiro |
Pode ser atribuído qualquer ficheiro esta condição de regra; No entanto, a regra têm de ser atualizada sempre que uma nova versão do ficheiro é lançada porque o valor hash é baseado em parte da versão. |
Para mais informações sobre esta condição de regra, consulte o artigo Compreender a Condição de Regra de Hash de Ficheiro no AppLocker. |
No exemplo Woodgrove Bank, a aplicação de linha de negócio para o grupo de empresas banco Tellers está assinada e está localizada na c:\Programas\Microsoft Files\Woodgrove\Teller.exe. Por conseguinte, a regra pode ser definida com uma condição do publisher. Se a regra está definida para uma versão específica e acima (por exemplo, Teller.exe versão 8.0 e acima), em seguida, isto permitirá que quaisquer atualizações para esta aplicação para ocorrer sem interrupções de acesso para os utilizadores se a aplicação nome e assinado atributos mantenha-se da mesma.
Determinar como permitir que os ficheiros de sistema executar
Porque o AppLocker regras construir uma lista de aplicações permitidas, uma regra ou regras tem de ser criadas para permitir que todos os ficheiros do Windows executar. AppLocker fornece um meio para se certificar de ficheiros de sistema são consideradas corretamente na sua coleção de regra através da geração das regras predefinidas para cada coleção de regra. Pode utilizar as regras predefinidas como um modelo ao criar as suas próprias regras. No entanto, estas regras apenas se destinam a funcionar como uma política de starter quando pela primeira vez é testar o AppLocker regras para que os ficheiros de sistema nas pastas Windows serão permitidos para executar. Quando uma regra de predefinido é criada,-está em falta com "(regra predefinido)" no nome tal como é apresentado na coleção de regra.
Também pode criar uma regra para os ficheiros de sistema baseada a condição de caminho. No exemplo anterior, para o grupo de banco Tellers, todos os ficheiros do Windows se encontram em C:\Windows e podem ser definidos com o tipo de condição de regra de caminho. Esta ação irá permitir acesso a estes ficheiros sempre as atualizações são aplicadas e alterar os ficheiros. Se exigir segurança adicionais da aplicação, poderá ter de modificar as regras criadas a partir da coleção de regra predefinido incorporados. Por exemplo, a regra predefinida para permitir que todos os utilizadores executar .exe ficheiros na pasta do Windows é baseada numa condição de caminho que permite que todos os ficheiros da pasta do Windows para executar. A pasta do Windows contém uma subpasta Temp ao qual o grupo de utilizadores é dado as seguintes permissões:
Pasta/executar traverse ficheiro
Criar ficheiros/escrita de dados
Criar pastas/Acrescentar dados
Estas definições de permissões são aplicadas a esta pasta para compatibilidade de aplicação. No entanto, uma vez que qualquer utilizador pode criar ficheiros nesta localização, permitir aplicações a ser executada a partir desta localização poderão entrar em conflito com uma política de segurança da sua organização.
Próximos passos
Depois de selecionar os tipos de regras para criar, gravar o seus findings conforme explicado As AppLocker regras de documentos.
Após gravar o seus findings para as regras de AppLocker criar, terá da considerar como impor as regras. Para obter informações sobre como fazê-lo, consulte o artigo Determinar a política de grupo estruturar e imposição de regras.